单点登录技术方案

1、集团单点登录技术方案目录1.xxxx 集团系统建设现状 .错误 ! 未定义书签。.Web 应用系统 .错误 ! 未定义书签。.C/S 应用系统 .错误 ! 未定义书签。.SSL VPN 系统 .错误 ! 未定义书签。2.xxxx 集团单点登录系统需求 .错误 ! 未定义书签。.一站式登录需求 .错误 ! 未定义书签。3.SSO（单点登录）技术简介 .错误 ! 未定义书签。.修改应用程序 SSO 方案 .错误 ! 未定义书签。.即插即用 SSO方案 .错误 ! 未定义书签。.两种 SSO 方案比较 .错误 ! 未定义书签。.惠普 SSO .错误 ! 未定义书签。惠普 SSO 开发背景 .错误 !

2、 未定义书签。惠普 SSO 的功能 .错误 ! 未定义书签。惠普 SSO 的特点 .错误 ! 未定义书签。惠普 SSO 结构 .错误 ! 未定义书签。4.xxxx 集团单点登录技术方案 .错误 ! 未定义书签。.应用系统中部署惠普 SSO 单点登录 .错误 ! 未定义书签。解决全局的单点登录 .错误 ! 未定义书签。应用系统的整合 .错误 ! 未定义书签。用户如何过渡到使用单点登录 .错误 ! 未定义书签。管理员部署业务系统单点登录功能.错误 ! 未定义书签。建立高扩展、高容错单点登录环境.错误 ! 未定义书签。建立稳定、安全、高速网络环境.错误 ! 未定义书签。.定制工作 .错误 ! 未定义

3、书签。SSL VPN 结合 .错误 ! 未定义书签。密码同步 .错误 ! 未定义书签。5.项目实施进度 .错误 ! 未定义书签。.基本安装配置 .错误 ! 未定义书签。.配置认证脚本 .错误 ! 未定义书签。.总体进度 .错误 ! 未定义书签。6.硬件清单 .错误 ! 未定义书签。7.软件清单 .错误 ! 未定义书签。xxxx 集团系统建设现状集团有限责任公司（以下简称集团公司）管理和运营省内 11 个民用机场，以及 20 多个关联企业（全资子公司、控股企业、参股企业） 。现有的信息系统主要有生产运营系统和管理信息系统， 其中生产运营系统包括机场生产运营管理系统、中小机场生产运营管理系统、离港

4、系统、航显系统、广播系统、安检信息管理系统、控制区证件管理系统等， 管理信息系统主要有财务系统、 OA 系统、邮件系统、资产管理系统、决策支持系统、网站信息发布审批系统、视频点播系统等。这些信息系统的用户包括集团公司所有机场以及关联企业。各信息系统都有独立的用户组织体系，采用“用户名 +密码”的方式来实现身份认证和授权访问。从而与众多企业一样存在如下一些主要问题： 1、终端用户需要记住多个用户名和密码； 2、终端用户需要登录不同的信息系统以获取信息；3、系统管理员难以应付对用户的管理； 4、难以实施系统使用安全方面的管理措施。1.1. Web 应用系统集团现有的 Web 应用系统包括：办公自动

5、化系统（ OA ）、邮件系统、资产管理系统、内部网站信息发布审批系统、决策支持系统、视频点播系统等。这些系统基本上是各自独立开发的、 或者购买的商业软件。 每个应用系统都有自己的用户管理机制和用户认证机制， 彼此独立。每个应用系统用户名、 口令可能各不相同。1.2. C/S 应用系统集团目前的 C/S 应用只有一个：财务系统，金蝶 K3 财务系统。1.3. SSL VPN 系统集团有一套 SSL VPN 系统，集团局域网之外的用户 （包括各地州机场、部分关联企业、用户自己家住房、出差旅馆、无线上网等）是通过SSL VPN 系统进入集团局域网的，通过SSL VPN 系统进入集团局域网访问的系统包

6、括：OA系统、邮件系统、资产管理系统、决策支持系统、网站信息发布审批系统及内部网站等。用户经过SSL VPN 系统进入集团局域网需要经过身份认证。xxxx 集团单点登录系统需求现在信息系统建设的重要内容之一是信息门户建设， 利用门户集成技术建立一个完整有效的内部信息门户， 通过提供资源的管理和应用开发的支撑功能， 把各业务系统的不同功能有效地组织起来， 给用户提供一个统一的信息服务功能入口，集成现有的业务系统信息资源， 减少信息孤岛的存在并降低重复投资， 为用户提供更加完善的信息服务。2.1. 一站式登录需求由于目前各应用系统独立设计、 自成体系，不同系统采用不同的用户管理机制，所以进入每个应

7、用系统均需独立的认证和登录， 导致用户使用麻烦， 无法体现以用户为中心的服务理念，无法给用户提供简单、方便、快捷、使用的信息服务。集团要实现为各类专业应用系统（办公自动化系统、企业邮件系统、资产管理系统等） 提供应用集成， 必须首先解决各系统互联互通， 资源共享需求所带来的统一身份认证需要。应根据“统一规划，分步实施” ，“需求主导，共建共享” ，“先进实用，开放扩展”，“统一标准，保障安全”的四个指导原则，先期在信息系统中提供先进安全可靠的、符合国际标准的、高性能大规模的单点登录整体解决方案（ “一站式登录 Single Sign-On，SSO）”，以降低用户和密码管理成本，提高安全性，并提

8、高用户的系统使用效率，为各系统的无缝集成打下坚实的基础。SSO（单点登录）技术简介SSO 就是通过一次登录自动访问所有授权的应用系统，从而提高整体安全性，而且用户无需记录多种登录过程、ID 或口令。需要部署SSO 的原因：口令越多，安全风险越大需要简化用户访问需要简化用户帐号和口令的系统管理使用单点登录可以集中地提高整个系统的安全性为企业提供统一的、集中的信息资源管理手段提高应用系统数据信息的安全从而保护企业核心财产目前单点登录技术主要分为两类，分别修改应用程序SSO 技术方案和不修改应用程序 SSO 技术方案（即插即用） 。3.1. 修改应用程序SSO 方案在这种方案中， SSO 解决方案包

9、括的组件为： 认证服务器、 各种 API（ Java、C/C+、.Net、JSP、ASP、PHP 等）、各种代理 Agent。这种解决方案需要用户改造以前的应用系统， 采用方案提供的 API 或 Agent 对应用系统进行修改。 改变原有应用系统的认证方式、 采用认证服务器提供的技术进行身份认证。 这种解决方案，一般要求用户先统一所有应用系统的用户数据库。 把用户的信息统一后， 才可实现单点登录功能。在修改应用的技术方案中， 每个应用服务器中都需要安装一个代理程序完成用户的身份认证工作。当用户访问目标应用服务器时，代理程序向SSO 服务器询问该用户是否已经登录，如果是，则代理程序从 SSO 服

10、务器中取得该用户的用户信息自动登录该应用系统。 登录成功后， 用户直接访问该目标服务器。 如果未曾登录过任何应用服务器，则该应用要求用户进行身份认证，认证结束后， 代理程序将认证结果发送给SSO 服务器。这种方案的优点是不用在单点登录服务器上保存各个应用系统的用户名/口令信息。3.2. 即插即用SSO 方案即插即用解决方案， 不需要用户修改应用程序。 即插即用解决方案包括的组件为：认证服务器、 SSO 客户端或浏览器控件（ C/S 结构的应用需要， B/S 应用不需要）。这种解决方案在认证服务器上保存用户所有应用系统的用户名 /口令信息列表。针对每个应用系统， 在这种方案中都有一个对应的配置文

11、件， 这个配置用来代理用户登录应用系统。即插即用解决方案工作的基本原理： 首先针对每个应用系统进行配置， 产生一个配置文件； 用户登录到单点登录服务器上； 用户访问应用系统时， 单点登录服务器调用对应于该应用的配置文件，将对应该应用的用户认证信息（用户名 / 口令）取出，代理用户登录应用系统；登录成功后，用户可以访问应用系统。这种方案的特点是在单点登录服务器上保留各个应用的用户名 /口令信息对应列表。3.3. 两种 SSO 方案比较修改应用系统的 SSO 方案和即插即用SSO方案各有优缺点，先比较如下：指标修改应用程序方案即插即用方案实施性实施周期长，一般月为单位实施周期短，以天为单位扩展性跟

12、应用的平台、环境有关跟应用无关，高扩展容错性单点登录服务器失效，业务系统单点登录服务器失效，业务系统无法正常使用，容错性差仍可正常使用，容错性好认证信息无需在单点登录服务上存储其他需在单点登录服务上存储其他应应用的用户认证信息用的用户认证信息表 两种 SSO方案比较3.4. 惠普 SSO惠普 SSO 开发背景近年来，随着信息化进一步发展， 企业的应用系统越来越多。部署这些应用面临双重的安全挑战。首先，必须保证只有合法的用户才能访问相应的应用资源。其次，实施安全保护措施时应尽量避免增加用户的负担。随着业务系统的增加，每个用户需要记住多个口令， 访问不同的应用系统采用不同的口令。这虽然能够保证用户

13、对应用资源的合法访问，但增加了用户的负担。 一方面，为了方便记忆，用户会采用简单的口令或将口令记录下来，这大大降低了应用系统的安全性；另一方面，用户每访问一个应用资源都需要登录一次，这大大降低了工作效率。 惠普 SSO 应用软件系统正是在这种背景下开发的。惠普 SSO 的功能通过组合简单的访问控制和SSO功能，惠普 SSO为客户提供一个即插即用的 SSO 解决方案。用户无须修改应用系统 （包括 WEB 应用系统和 C/S 结构应用系统），自由选择前置代理和后置代理或组合使用方式。只需简单的配置，即可使用 SSO 应用功能。惠普 SSO 系统主要功能包括：单点登录：用户只需登录一次，即可通过单点

14、登录系统（SSO）访问后台的多个应用系统，无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同，并且实现单点登录时，后台应用系统无需任何修改。即插即用：通过简单的配置， 无须用户修改任何现有 B/S、C/S 应用系统，即可使用。解决了当前其他 SSO 解决方案实施困难的难题。多样的身份认证机制：同时支持基于 PKI/CA 数字证书和用户名 /口令身份认证方式，可单独使用也可组合使用；可无缝集成 Windows 域认证模式，登录的域用户访问惠普 SSO服务器无须再次身份认证；基于角色访问控制：根据用户的角色和URL 实现访问控制功能基于 Web界面管理：系统所有管理功能都通过

15、Web 方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。 此外，可以使用 HTTPS 安全地进行管理。全面的日志审计：精确地记录用户的日志，可按日期、地址、用户、资源等信息对日志进行查询、统计和分析。审计结果通过 Web 界面以图表的形式展现给管理员。双机热备：通过双机热备功能，提高系统的可用性，满足企业级用户的需求。集群：通过集群功能，为企业提供高效、可靠的 SSO服务。可实现分布式部署，提供灵活的解决方案。传输加密：支持多种对称和非对称加密算法，保证用户信息在传输过程中不被窃取和篡改。防火墙：基于状态检测技术， 支持 NAT 。主要用于加强 SSO本身的安全，也

16、适用于网络性能要求不高的场合，以减少投资。分布式安装：对物理上不在一个区域的网络应用服务器可以进行分布式部署 SSO 系统后台用户数据库支持： LDAP 、 Oracle、DB2 、 Win2k ADS 、Sybase等。可以无缝集成现有的应用系统的统一用户数据库作为 SSO应用软件系统的用户数据库。领先的 C/S 单点登录解决方案：无需修改任何现有的应用系统服务端和客户端即可实现 C/S 单点登录系统。惠普 SSO 的特点同其他 SSO 产品相比，惠普 SSO 具有如下特点：即插即用：惠普 SSO 以完全独立于应用系统的方式工作，应用系统完全感觉不到惠普 SSO 的存在。高可扩展性：企业新部

17、署应用系统通过简单的配置即可纳入SSO 系统。应用无关性：同应用系统的平台、开发环境、结构、编程语言以及脚本无关。支持所有的 TCP/IP 协议的应用环境，能够满足各种 Web 应用开发环境。无客户端化：通过配置，对于 C/S 的应用，可以通过插件的方式来实现单点登录，无需安装惠普单点登录客户端。满足企业级应用的需求：通过双机热备、集群等功能解决大型企业对应用系统高可靠性和高带宽需求。用户认证信息多样化：支持 Web 的 BA 和 Form 认证方式， Web 应用系统的用户名口令可各不相同，支持数字证书认证、支持用户已有的用户数据库等。通过定制开发也可支持动态口令等认证方式。惠普 SSO 结

18、构浏览器客户端浏览器客户端C/S应用客户端SSO客户端一次性一次性一次性凭证凭证凭证防火墙模块安图形化审计报表台身份单点数据访问制全认证登录加密控制控网集群、双机热备关理管SSO用户数据库SSO服务器B/S 结构应B/S结构应C/S结构应用服务器用服务器用服务器Web 用户数据库Web 用户数据库C/S用户数据库图 惠普 SSO 体系结构xxxx 集团单点登录技术方案4.1. 应用系统中部署惠普SSO 单点登录集团的单点登录需求特点是：已经实现了多个应用系统，而且为异构系统（不同的平台上，使用不同的应用服务器建立不同的业务系统） ，没有独立的单点登录门户。单点登录系统想作为企业的门户使用。在单

19、点登录技术领域，惠普抛弃了系统综合集成、 应用大包大揽的整合、 以及异构系统异构解决 （插件方式）等实现方法。 而是将重点放在已有应用系统的单点登录的无缝集成上， 着重实现具有“即插即用” 、“应用无关”、“不知不觉中的单点登录”等功能。为了更好的保护已有投资，使单点登录系统具有更好的扩展性。在xxxx 集团应用系统的单点登录规划中我们推荐惠普SSO单点登录产品。下面各个章节里将详细描述惠普 SSO 单点登录系统如何无缝解决企业的单点登录需求。解决全局的单点登录集团内部应用系统共用的LDAP 服务器（ SSL VPN 、Web 应用、 HP SSO）分支机构一次登录一次登录LDAP目录入SSO

20、系统Web 应用移动办公用户互联网SSL VPN一次登录录登分支机构次一HP SSO录登次一加单点登录加入SSO系统录登次一办公自动化资产管理企业邮件决策支持内部网站财务系统C/S 应用内部员工 A内部员工 B内部员工 C内部网络图 xxxx 集团部署单点登录系统网络结构图上图为 xxxx 集团部署惠普 SSO 单点登录系统的示意图， 为了保证系统高可用性，可采取 SSO系统的双机热备部署方案。部署完成后， xxxx 集团用户登录业务系统将不在面临分散式登录方式，用户只需登录惠普SSO 系统一次即可。用户在访问某个业务系统时，惠普SSO 单点登录系统会截获用户信息，并对用户进行安全可靠的身份认

21、证（登录SSO 服务器，只需一次），登录成功后（假定用户身份正确）用户再使用其他业务系统时将不再需要身份认证，惠普SSO 单点登录系统会自动代理该用户完成必要的认证过程，并且确保该用户的正确性、合法性和安全性。应用系统的整合在提供 SSO 单点登录方案时，应尽量避免修改原有的应用系统，不要修改应用系统结构和设计。对 Web应用，惠普 SSO 同应用系统的操作系统平台、应用开发平台、开发语言、开发脚本、 Web 服务器和应用服务器的类型完全无关。 这样可以确保惠普SSO系统支持所有的Web 应用系统。对于 C/S 结构的应用，采用惠普 SSO 的单点登录客户端或浏览器插件，可以方便的实现 C/S

22、 结构应用系统的单点登录功能， 无需用户修改应用程序。 以透明的方式实现，达到“不知不觉”地实现单点登录的功效。惠普 SSO 最大限度地避免用户修改已有的应用系统，为项目的顺利实施提供了可靠的保证。一方面，因无需定制开发，修改应用程序，避免了部门协调的麻烦；另一方面，可以在短时间内完成项目的部署， 避免因实施周期长带来的不必要的麻烦。图 单点登录主页面根据 xxxx 集团的实际需求，对于C/S 的应用我们建议用户采用浏览器插件的方式进行管理。 采用浏览器插件的用户不需要安装客户端，使用比较方便。 上图是默认配置下，用户登录到惠普SSO 服务器后显示的页面。点击主页面上的所有应用，用户都可以直接

23、进入该系统，不需要用户再次输入密码。用户如何过渡到使用单点登录部署惠普 SSO 单点登录系统应用后，企业用户访问和使用原有的业务系统时，其使用方式不进行任何变动，这主要是惠普SSO 单点登录系统使用了透明转发技术，也就是说，单点登录系统的使用在用户看来是透明的。其中企业用户能看到的变化如下：一次性登录到 SSO 服务器后，访问任何业务系统不用进行身份认证；企业用户需要在 SSO 服务器上维护自己用户名 /口令列表。每个用户维护自己的列表，管理员无法干预，也无需干预。管理员部署业务系统单点登录功能系统管理员通过管理控制台对单点登录系统进行管理。惠普SSO 单点登录系统自身携带图形化的基于Web

24、界面的管理控制台，通过Web 界面管理单点登录系统。惠普SSO 无需配置修改其他业务系统，最大化的减少了同各个业务系统管理部门之间的协调工作，保证项目的顺利部署。其管理界面如下：图管理控制台截图每个需要单点登录的业务系统在惠普SSO单点登录系统中都需要进行配置，主要配置内容包括：网络地址，子网掩码等等相关信息进行配置业务系统名称业务系统 IP业务系统开放的端口用户管理用户授权这些配置完成后用户即可使用单点登录，针对单点登录的管理配置相当简单、明确。在配置和使用开始后，管理员的管理工作变得非常少，只剩下用户管理和日志查询审计工作，对用户的管理包括增、删、改等，而日志审计有非常直观的图形化界面可用

25、，其截图如下：图惠普 SSO 单点登录系统日志报表截图日志审计部分是全局统一审计的，图形化报表审计日志对管理员非常直观外，企业决策层进行系统分析和数据采样也是非常适合的。建立高扩展、高容错单点登录环境惠普 SSO 单点登录系统无需修改应用程序，因此新上线的应用系统，通过配置即可纳入单点登录系统。系统具有良好的扩展性。惠普 SSO 单点登录系统不修改应用系统，采用旁路工资模式。因此，当单点登录系统出现故障时， 除了无法使用单点登录功能外， 不影响原有业务系统的正常运行，保证了系统的高容错功能。 这是同修改应用程序实现单点登录功能解决方案的一个重要区别。 采用修改应用程序的方法， 一旦单点登录系统

26、出现问题，整个业务系统也会受到影响，可能无法正常工作。建立稳定、安全、高速网络环境在企业的业务系统中增加单点登录系统后首要的问题是要稳定、安全、高速，然后在这个基础上进行单点登录。惠普 SSO单点登录系统采用双机热备、集群技术，这些技术保证SSO 服务器不会影响业务系统的数据处理，可以适应任何流量压力下的正常数据传输。安全方面，惠普SSO 单点登录系统采用专用内核，并且自身携带安全的防火墙模块，保证单点登录系统自身安全性和稳定性。4.2. 定制工作结合集团有一套 SSL VPN 系统，采用的艾克斯通的 SSL VPN 系统。惠普SSO系统可以和艾克斯通SSL VPN 无缝集成。通过配置，用户登SSL VPN 后访问惠普 SSO系统，无须再次输入密码。移动办公用户的最终感觉是：登录SSL VPN ，输入一次口令，然后访问其他应用系统时，无须再输入口令。密码同步集团现有一个基于 LDAP 用户数据库，现有的 Web 应用系统（OA 、资产管理、企业邮件、网站发布、决策支持）和SSL VPN 都使用该数据库。有的直